22/06/2013

SISTEMA DE GESTIÓN DE CALIDAD

Normalización Sistema

El Sistema de Gestión de la Calidad es una filosofía adoptada por las organizaciones para dirigir y evaluar el desempeño institucional orientado al mejoramiento de los productos que se ofrecen al ciudadano. El estado colombiano a través de la Ley 872 de 2003 dio origen a la Norma Técnica de Calidad NTCGP 1000:2004, que determina los requisitos que las entidades públicas deben cumplir para implementar el Sistema de Gestión de la Calidad (SGC). El Departamento Administrativo de la Función Pública, como ente facultado por la Ley brinda apoyo y asesoría a las entidades de la administración pública, en el diseño e implementación del Sistema de Gestión de la Calidad, a través de la instrumentalización difusión y asesoría. Dentro de las publicaciones que se pueden encontrar en el Departamento como apoyo al  proceso de implementación de este sistema, se pueden encontrar: 

Norma Técnica de la Calidad en la Gestión Pública NTCGP 1000:2004, actualizada a Versión NTCGP 1000:2009

Guía de Diagnóstico para la Implementar el Sistema de Gestión de la Calidad en la Gestión Pública.

Guía de Planeación para Implementar el Sistema de Gestión de la Calidad en la Gestión Pública.

Guía de Diseño para Implementar el Sistema de Gestión de la Calidad. Guía de Evaluación NTCGP 1000:2004

Guía de implementación NTCGP 1000:2004 Armonización SGC-MECI

 Normalización de Calidad en la Gestión Dentro de la normatividad frente a este Sistema se encuentra, la Ley 872 de 2003, mediante la cual crea el Sistema de Gestión de la Calidad en la Rama Ejecutiva del Poder Público y en otras entidades prestadoras de servicios, como una herramienta de gestión sistemática y transparente que permita evaluar el desempeño institucional en términos de calidad y satisfacción social en la prestación de servicios a cargo de las entidades y agentes obligados. A través del Decreto 4110 de 2004, el Gobierno Nacional adoptó la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2004, mediante la cual se determinan las generalidades y los requisitos mínimos para establecer, documentar, implementar y mantener un Sistema de Gestión de la Calidad. Está norma es de obligatoria aplicación y cumplimiento por parte de las entidades y organismos de la Rama Ejecutiva del Poder y de otras entidades prestadoras de servicios.

  Aspectos Relacionados con la Certificación del SGC 

Sello de Calidad: Con el fin de dar cumplimiento al Decreto 2375 de 2006, el Departamento Administrativo de la Función Pública – DAFP, diseñó el logotipo o Sello Oficial de Gestión de la Calidad NTCGP 1000:2004 Sector Público, en el Estado Colombiano, para identificar las entidades que se encuentran acreditadas por la Superintendencia de Industria y Comercio bajo la Norma Técnica NTCGP 1000:2004 y las certificadas por dichos entes acreditados.

Un sistema de gestión de la calidad es una estructura operacional de trabajo, bien documentada e integrada a los procedimientos técnicos y gerenciales, para guiar las acciones de la fuerza de trabajo, la maquinaria o equipos, y la información de la organización de manera práctica y coordinada y que asegure la satisfacción del cliente y bajos costos para la calidad.

En otras palabras, un Sistema de Gestión de la Calidad es una serie de actividades coordinadas que se llevan a cabo sobre un conjunto de elementos (Recursos, Procedimientos, Documentos, Estructura organizacional y Estrategias) para lograr la calidad de los productos o servicios que se ofrecen al cliente, es decir, planear, controlar y mejorar aquellos elementos de una organización que influyen en satisfacción del cliente y en el logro de los resultados deseados por la organización.

Si bien el concepto de Sistema de Gestión de la Calidad nace en la industria de manufactura, estos pueden ser aplicados en cualquier sector tales como los de Servicios y Gubernamentales.

IMPLEMENTACIÓN

Una organización debe de tomar en cuenta la siguiente estructura

Estrategias: Definir políticas, objetivos y lineamientos para el logro de la calidad y satisfacción del cliente. Estas políticas y objetivos deben de estar alineados a los resultados que la organización desee obtener.

Procesos: Se deben de determinar, analizar e implementar los procesos, actividades y procedimientos requeridos para la realización del producto o servicio, y a su vez, que se encuentren alineados al logro de los objetivos planteados. También se deben definir las actividades de seguimiento y control para la operación eficaz de los procesos.

Recursos: Definir asignaciones claras del personal, Equipo y/o maquinarias necesarias para la producción o prestación del servicio, el ambiente de trabajo y el recurso financiero necesario para apoyar las actividades de la calidad.

Estructura Organizacional: Definir y establecer una estructura de responsabilidades, autoridades y de flujo de la comunicación dentro de la organización.

Documentos: Establecer los procedimientos documentos, formularios, registros y cualquier otra documentación para la operación eficaz y eficiente de los procesos y por ende de la organización

También existen varias normativas estandarizadas que establecen requisitos para la implementación de un Sistema de Gestión de la Calidad, y que son emitidas por organismos normalizadores como la ISO, DIS, entre otros.

Ejemplos de estas normativas están:

ISO 9001 - Requisitos para un Sistema de Gestión de la Calidad (Aplicable a cualquier organización, sin importar tamaño o sector).4 . BSI fue pionera con el desarrollo de la BS 5750 en 1979, norma en la que se basó la ISO 900.

ISO 10015 - Directrices para la Formación. ISO 15189 - Requisitos para un Sistema de Gestión de la Calidad en

Laboratorios Clínicos. ISO 17025 - Requisitos para un Sistema de Gestión de la Calidad en

Laboratorios de Ensayos y Calibración. OHSAS 18001 - Sistemas de Gestión de la Seguridad y Salud en el

Trabajo. BSI fue pionera con el desarrollo de la BS 8800 en 1996, norma en la que se basó la OHSAS 18001.

ISO 20000-1 - Requisitos para un Sistema de Gestión de (la Calidad de) los Servicios. BSI fue pionera con el desarrollo de la BS 15000 en 2002, norma en la que se basó la ISO 20000.

En la actualidad estamos frente a un mundo competitivo, donde encontramos nuevas tecnologías que nos sorprenden día a día, los clientes son cada vez más exigentes, requieren productos o servicios con características que satisfagan sus necesidades y expectativas. Es por ello que las organizaciones deben trabajar en pro de la satisfacción total de sus clientes, mediante un proceso de mejora continua e implementar normas estandarizadas para lograr la calidad máxima de los productos o servicios que ofrecen. Es importante la plena colaboración de todo el personal de la organización o empresa, para que sea efectivo el servicio realizado, y que de esta manera se obtengan excelentes resultados para la empresa.

CIRCULO DEMING

El ciclo de Deming, también conocido como círculo PDCA (de Edwards Deming), es una estrategia de mejora continua de la calidad de la gestión de una organización. Está basada en un concepto ideado por Walter A. Shewhart. También se denomina espiral de mejora continua. Es muy utilizado por los sistema de gestión de la calidad.

Las siglas, PDCA son el acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), los cuatro pasos de la estrategia.

Los resultados de la implementación de este ciclo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costes, optimizando la productividad, reduciendo los precios, incrementando la participación del mercado y aumentando la rentabilidad de la empresa u organización.

IMPORTANCIA DE LA INFORMACIÓN

Cuando se habla de la función informática generalmente se tiende a hablar de tecnología nueva, de nuevas aplicaciones, nuevos dispositivos hardware, nuevas formas de elaborar información más consistente, etc.

Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace posible la existencia de los anteriores elementos. Esta base es la información.

Es muy importante conocer su significado dentro la función informática, de forma esencial cuando su manejo está basado en tecnología moderna, para esto se debe conocer que la información:

esta almacenada y procesada en computadoras puede ser confidencial para algunas personas o a escala institucional puede ser mal utilizada o divulgada puede estar sujeta a robos, sabotaje o fraudes

Los primeros puntos nos muestran que la información está centralizada y que puede tener un alto valor y los últimos puntos nos muestran que se puede provocar la destrucción total o parcial de la información, que incurre directamente en su disponibilidad que puede causar retrasos de alto costo.

Aprovechar plenamente el potencial de una computadora involucra riesgos de

seguridad del propio equipo y de los datos. Pero utilizarla íntegramente es un

desperdicio; así que no hay escapatoria. Sin embargo, los riesgos son controlables

siempre que se tomen las medidas adecuadas de protección.

Para continuar es muy importante conocer el significado de dos palabras, que

son riesgo y seguridad.

Riesgo

Proximidad o posibilidad de un daño, peligro, etc.

Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir

un seguro.

Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.

Seguridad

Cualidad o estado de seguro

Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de

algo.

Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que

contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de

seguridad, cinturón de seguridad.

Con estos conceptos claros podemos avanzar y hablar la criminología ya ha

calificado los "delitos hechos mediante computadora “o por "sistemas de

información" en el grupo de delitos de cuello blanco.

Delitos accidentales e incidentales

Los delitos cometidos utilizando la computadora han crecido en tamaño, forma y

variedad.

En la actualidad (1994) los delitos cometidos tienen la peculiaridad de ser

descubiertos en un 95% de forma casual. Podemos citar a los principales delitos

hechos por computadora o por medio de computadoras estos son:

fraudes

falsificación

venta de información

Virus informático

Entre los hechos criminales más famosos en los E.E.U.U. están:

El caso del Banco Wells Fargo donde se evidencio que la protección

de archivos era inadecuada, cuyo error costo USD 21.3 millones.

El caso de la NASA donde dos alemanes ingresaron en archivos

confidenciales.

El caso de un muchacho de 15 años que entrando a la computadora de

la Universidad de Berkeley en California destruyo gran cantidad de archivos.

También se menciona el caso de un estudiante de una escuela que ingreso

a una red canadiense con un procedimiento de admirable sencillez,

otorgándose una identificación como un usuario de alta prioridad, y tomo

el control de una embotelladora de Canadá.

También el caso del empleado que vendió la lista de clientes de una compañía

de venta de libros, lo que causo una pérdida de USD 3 millones.

Virus informáticos

Los virus informáticos son pequeños programas de cómputo que se auto-replican, especializados en llevar a cabo diversas acciones que interfieren de alguna forma con el funcionamiento normal de una computadora. Este funcionamiento anormal puede ser algo muy simple, y que no afecte ni al hardware ni al software, ni a los datos del usuario; un buen ejemplo de esto sería el virus”Pong”, popular en los años 80, y el cual únicamente producía una “carita feliz” que rebotaba por toda la superficie de la pantalla, sin impedir que el usuario siguiera trabajando, ni afectando al equipo de alguna otra forma. Estos virus tan solo eran molestos, pero en realidad no representaban un peligro.

Sin embargo existen otros virus cuya acción dañina puede ser mucho más peligrosa. Algunos impiden el acceso al disco duro, así el usuario no puede guardar el archivo que se encuentre trabajando; incluso hay otros virus poco selectivos, que simplemente formatean el disco duro, eliminando toda la información e impidiendo el trabajo con todo el equipo.

Resumiendo, los virus informáticos son programas específicamente diseñados para afectar en pequeña o gran medida el comportamiento de la computadora.

Precauciones Para Evitar Contagio De Virus Informáticos:

Recurso Informático

Precaución

Correos electrónicos

Nunca abra archivos anexos de correos electrónicos que provengan de personas desconocidas; e incluso aquellos que vienen de amigos o familiares, trátelos con extremo cuidado.Y nunca abra directamente el archivo; en todo caso, pida que se guarde en su disco duro, y una vez guardado revíselo con algún programa especializado.

Mensajería Instantánea Lo mismo se aplica a archivos que traten de enviarle de los programas de mensajería,

como Messenger, facebook.Antes de abrirlos, revíselos con la herramienta adecuada.

Descargas de Software

Procure no descargar software de sitios de dudosa reputación, como los “almacenes de software” que abundan en internet. Este tipo de programas en ocasiones viene con algún virus adherido, de tal forma que al instalar dicho programa en la computadora, ésta queda infectada.

Sitios de Internet Evite también frecuentar sitios de internet poco recomendables, como aquellos relacionados con la piratería, la pornografía, el correo-basura, etc.

COSTO DE LA INFORMACION

Dados los riegos de seguridad, para un consumidor común, el costo aparentemente bajo de obtener y utilizar una copia de software falsificada o pirateada puede incluir en realidad el costo de una o más visitas del servicio técnico para limpiar el sistema, la perdida de la información valiosa, o un sistema infectado que necesita que reformateen su disco duro, o el costo, mucho más alto, del robo de identidad para las empresas, este costo puede ser aún mayor.

En Colombia existe una ley, que tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivo, y los demás derechos, libertades y garantías constitucionales. Lo que le brinda a la persona la capacidad de determinar que se hace con su información personal.

Esta ley vincula a todas las personas naturales y jurídicas, de naturaleza pública o privada, que administren bases de datos que contenga datos personales.

Las sanciones que recibiría una empresa por violar esta ley son:

Multas que llegan hasta 2.000 salarios mínimos, es decir, $ 1.170 millones.

Suspensión de las actividades de los establecimientos o cierre temporal de las operaciones.

Cierres inmediatos y definitivos, cuando hay tratamientos de datos sensibles (datos que afecten la intimidad o cuyo uso genere discriminación).

Seguridad en la información

¿Qué es?

La seguridad en la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.

Perspectiva de la seguridad en la información

En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:

Crítica: Es indispensable para la operación de la empresa.

Valiosa: Es un activo de la empresa y muy valioso.

Sensible: Debe de ser conocida por las personas autorizadas

Existen dos palabras muy importantes que son riesgo y seguridad:

Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas pérdidas para las empresas. Los riesgos más perjudiciales son a las tecnologías de información y comunicaciones.

Seguridad: Es una forma de protección contra los riesgos.

La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.

Planificación de la seguridad Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones adopten un conjunto mínimo de controles de seguridad para proteger su información y sistemas de información. El propósito del plan de seguridad del sistema es proporcionar una visión general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema también delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los propietarios de la información, el propietario de la red, y el alto funcionario de la agencia de información de seguridad (SAISO).

Los administradores de programas, los propietarios del sistema, y personal de seguridad en la organización debe entender el sistema de seguridad en el proceso de planificación. Los responsables de la ejecución y gestión de sistemas de información deben participar en el tratamiento de los controles de seguridad que deben aplicarse a sus sistemas.

Creación de un plan de respuesta a incidentes

Es importante formular un plan de respuestas a incidentes, soportarlo a lo largo de la organización y probarlo regularmente. Un buen plan de respuestas a incidentes puede no sólo minimizar los efectos de una violación sino también, reducir la publicidad negativa.

Desde la perspectiva del equipo de seguridad, no importa si ocurre una violación o abertura (pues tales eventos son una parte eventual de cuando se hacen negocios usando un método de poca confianza como lo es Internet), si no más bien cuando ocurre. El aspecto positivo de entender la inevitabilidad de una violación a los sistemas (cualquier sistema donde se procese información confidencial, no esta limitado a servicios informáticos) es que permite al equipo de seguridad desarrollar un curso de acciones para minimizar los daños potenciales. Combinando un curso de acciones con la experiencia le permite al equipo responder a condiciones adversas de una manera formal y oportuna.

El plan de respuesta a incidentes puede ser dividido en cuatro fases:

Acción inmediata para detener o minimizar el incidente Investigación del incidente Restauración de los recursos afectados Reporte del incidente a los canales apropiados

Una respuesta a incidentes debe ser decisiva y ejecutarse rápidamente. Debido a que hay muy poco espacio para errores, es crítico que se efectúen prácticas de emergencias y se midan los tiempos de respuesta. De esta forma, es posible desarrollar una metodología que fomenta la velocidad y la precisión, minimizando el impacto de la indisponibilidad de los recursos y el daño potencial causado por el sistema en peligro.

Un plan de respuesta a incidentes tiene un número de requerimientos, incluyendo:

Un equipo de expertos locales (un Equipo de respuesta a emergencias de computación)

Una estrategia legal revisada y aprobada Soporte financiero de la compañía Soporte ejecutivo de la gerencia superior Un plan de acción factible y probado Recursos físicos, tal como almacenamiento redundante, sistemas en stand by

y servicios de respaldo

Consideraciones legales

Otros aspectos importantes a considerar en una respuesta a incidentes son las ramificaciones legales. Los planes de seguridad deberían ser desarrollados con miembros del equipo de asesoría jurídica o alguna forma de consultoría general. De la misma forma en que cada compañía debería tener su propia política de seguridad corporativa, cada compañía tiene su forma particular de manejar incidentes desde la perspectiva legal. Las regulaciones locales, de estado o federales están más allá del ámbito de este documento, pero se mencionan debido a que la metodología para llevar a cabo el análisis post-mortem, será dictado, al menos en parte, por la consultoría jurídica. La consultoría general puede alertar al personal técnico de las ramificaciones legales de una violación; los peligros de que se escape información personal de un cliente, registros médicos o financieros; y la importancia de restaurar el servicio en ambientes de misión crítica tales como hospitales y bancos.

Planes de acción

Una vez creado un plan de acción, este debe ser aceptado e implementado activamente. Cualquier aspecto del plan que sea cuestionado durante la implementación activa lo más seguro es que resulte en un tiempo de respuesta pobre y tiempo fuera de servicio en el evento de una violación. Aquí es donde los ejercicios prácticos son invalorables. La implementación del plan debería ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos que se llame la atención con respecto a algo antes de que el plan sea colocado en producción.

La respuesta a incidentes debe ir acompañada con recolección de información siempre que esto sea posible. Los procesos en ejecución, conexiones de red, archivos, directorios y mucho más debería ser auditado activamente en tiempo real. Puede ser muy útil tener una toma instantánea de los recursos de producción al hacer un seguimiento de servicios o procesos maliciosos. Los miembros de CERT y los expertos internos serán recursos excelentes para seguir tales anomalías en un sistema.

AUDITORIA DE SITEMAS

CONCEPTOS DE AUDITORÍA DE SISTEMAS

La palabra Auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia

y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan.

Auditoria de sistemas de información, es un examen de los controles dentro de una tecnología de la

información (TI).

Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión,

evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el

ambiente computacional y los sistemas.

A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:

Auditoría de Sistemas es:

La actividad dirigida a verificar y juzgar información.

El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y

de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de

eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar

conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

La naturaleza especializada de la auditoria de los sistemas de información y las

habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y

la promulgación de Normas Generales para la auditoria de los Sistemas de Información.

La auditoría de los sistemas de información se define como cualquier auditoria que abarca

la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los

sistemas automáticos de procesamiento de la información, incluidos los procedimientos

no automáticos relacionados con ellos y las interfaces correspondientes.

Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una

serie de pasos previos que permitirán dimensionar el tamaño y características de área

dentro del organismo a auditar, sus sistemas, organización y equipo.

A continuación, la descripción de los dos principales objetivos de una auditoria de

sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de

cómputo, con controles, tipos y seguridad.

¿QUE ES AUDITORIA DE SISTEMAS?

La auditoria en informática es la revisión y la evaluación de los controles, sistemas,

procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y

seguridad, de la organización que participan en el procesamiento de la información, a fin

de que por medio del señalamiento de cursos alternativos se logre una utilización más

eficiente y segura de la información que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los equipos de

cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar

los sistemas de información en general desde sus entradas, procedimientos, controles,

archivos, seguridad y obtención de información.

La auditoría en informática es de vital importancia para el buen desempeño de los

sistemas de información, ya que proporciona los controles necesarios para que los

sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo

(informática, organización de centros de información, hardware y software).

PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA

Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una

serie de pasos previos que permitirán dimensionar el tamaño y características de área

dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que

hacerla desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información

general sobre la organización y sobre la función de informática a evaluar. Para ello es

preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto

planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y

documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

INVESTIGACIÓN PRELIMINAR

Se deberá observar el estado general del área, su situación dentro de la organización, si

existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

Se debe hacer la investigación preliminar solicitando y revisando la información de cada

una de las áreas basándose en los siguientes puntos:

ADMINISTRACIÓN

Se recopila la información para obtener una visión general del departamento por medio de

observaciones, entrevistas preliminares y solicitud de documentos para poder definir el

objetivo y alcances del departamento.

Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de

informática

Objetivos a corto y largo plazo.

Recursos materiales y técnicos

Solicitar documentos sobre los equipos, número de ellos, localización y características.

Estudios de viabilidad.

Número de equipos, localización y las características (de los equipos instalados y por

instalar y programados)

Fechas de instalación de los equipos y planes de instalación.

Contratos vigentes de compra, renta y servicio de mantenimiento.

Contratos de seguros.

Convenios que se tienen con otras instalaciones.

Configuración de los equipos y capacidades actuales y máximas.

Planes de expansión.

Ubicación general de los equipos.

Políticas de operación.

Políticas de uso de los equipos.

SISTEMAS

Descripción general de los sistemas instalados y de los que estén por instalarse que

contengan volúmenes de información.

Manual de formas.

Manual de procedimientos de los sistemas.

Descripción genérica.

Diagramas de entrada, archivos, salida.

Salidas.

Fecha de instalación de los sistemas.

Proyecto de instalación de nuevos sistemas.

En el momento de hacer la planeación de la auditoria o bien su realización, debemos

evaluar que pueden presentarse las siguientes situaciones.

Se solicita la información y se ve que:

No tiene y se necesita.

No se tiene y no se necesita.

Se tiene la información pero:

No se usa.

Es incompleta.

No esta actualizada.

No es la adecuada.

Se usa, está actualizada, es la adecuada y está completa.

En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es

necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se

elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de

que se tenga la información pero no se utilice, se debe analizar por que no se usa. En

caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es

la adecuada y si está completa.

El éxito del análisis crítico depende de las consideraciones siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin

fundamento)

Investigar las causas, no los efectos.

Atender razones, no excusas.

No confiar en la memoria, preguntar constantemente.

Criticar objetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE

Una de las partes más importantes dentro de la planeación de la auditoria en informática

es el personal que deberá participar y sus características.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el

personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al

cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense

justamente por su trabajo.

Con estas bases se debe considerar las características de conocimientos, práctica

profesional y capacitación que debe tener el personal que intervendrá en la auditoria. En

primer lugar se debe pensar que hay personal asignado por la organización, con el

suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la

información que se solicite y programar las reuniones y entrevistas requeridas.

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni

contar con un grupo multidisciplinario en el cual estén presentes una o varias personas

del área a auditar, sería casi imposible obtener información en el momento y con las

características deseadas.

También se debe contar con personas asignadas por los usuarios para que en el

momento que se solicite información o bien se efectúe alguna entrevista de comprobación

de hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo

multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de

informática, sino también el del usuario del sistema.

Para completar el grupo, como colaboradores directos en la realización de la auditoria se

deben tener personas con las siguientes características:

Técnico en informática.

Experiencia en el área de informática.

Experiencia en operación y análisis de sistemas.

Conocimientos de los sistemas más importantes.

En caso de sistemas complejos se deberá contar con personal con conocimientos y

experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa

que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben

intervenir una o varias personas con las características apuntadas.

Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo

1, el figura el organismo, las fases y subfases que comprenden la descripción de la

actividad, el número de personas participantes, las fechas estimadas de inicio y

terminación, el número de días hábiles y el número de días/hombre estimado. El control

del avance de la auditoria lo podemos llevar mediante el anexo 2, el cual nos permite

cumplir con los procedimientos de control y asegurarnos que el trabajo se está llevando a

cabo de acuerdo con el programa de auditoria, con los recursos estimados y en el tiempo

señalado en la planeación.

El hecho de contar con la información del avance nos permite revisar el trabajo elaborado

por cualquiera de los asistentes.

PASOS A SEGUIR

Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar

los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos

de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso

de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y

debilidades de los controles existentes basado en la evidencia recopilada, y que prepare

un informe de auditoria que presente esos temas en forma objetiva a la gerencia.

Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación

adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de

seguimiento sobre las acciones correctivas emprendidas por la gerencia.

INFORME

En si todos los encuestados respondieron la totalidad de las preguntas. Todos tienen la

misma respuesta en la pregunta sobre la inteligencia artificial, todos dicen prácticamente

lo mismo acerca de lo que es la auditoria de sistemas en que es un sistema de revisión,

evaluación, verificación y evalúa la eficiencia y eficacia con que se está operando los

sistemas y corregir los errores de dicho sistema. Todos los encuestados mostraron una

características muy similares de las personas que van a realizan la auditoria; debe haber

un contador, un ingeniero de sistemas, un técnico y que debe tener conocimientos,

práctica profesional y capacitación para poder realizar la auditoria.

Todos los encuestados conocen los mismos tipos de auditoria, Económica, Sistemas,

Fiscal, Administrativa.

Para los encuestados el principal objetivo de la auditoria de sistemas es Asegurar una

mayor integridad, confidencialidad y confiabilidad de la información mediante la

recomendación de seguridades y controles.

Mirando en general a todos los encuestados se puede ver que para ellos la auditoria de

sistemas es muy importante porque en los sistemas esta toda la información de la

empresa y del buen funcionamiento de esta depende gran parte del funcionamiento de

una empresa y que no solo se debe comprender los equipos de computo sino también

todos los sistemas de información desde sus entradas, procedimientos, controles,

archivos, seguridad y obtención de información.

La auditoria de los sistemas de informática es de mucha importancia ya que para el buen

desempeño de los sistemas de información, ya que proporciona los controles necesarios

para que los sistemas sean confiables y con un buen nivel de seguridad.